Abo
  • Services:
Anzeige
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt.
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info)

SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt.
SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info)

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Alte Verschlüsselungsalgorithmen wie Triple-DES oder Blowfish sollte man zukünftig besser vermeiden. Wie Forscher der französischen Inria jetzt zeigen konnten, besteht dabei die Gefahr, dass doppelte Blöcke Informationen über Daten preisgeben. Der Grund dafür: Diese Algorithmen setzen auf eine Blockgröße von 64 Bit - aufgrund des sogenannten Geburtstagsparadoxons treten bei größeren Datenmengen hier mit hoher Wahrscheinlichkeit Kollisionen auf. Das ermöglicht einen Angriff, der SWEET32 getauft wurde.

Anzeige

64 Bit sorgen für Kollisionen

Blockverschlüsselungsmodi bearbeiten Daten immer in Blöcken einer bestimmten Größe. Die Blockgröße ist dabei unabhängig von der Schlüssellänge. Beim üblicherweise verwendeten Algorithmus AES sind die Blöcke 128 Bit groß, das bedeutet, dass immer 128 Bit Klartext zu 128 Bit Ciphertext verschlüsselt werden. Bei 128 Bit sind Kollisionen extrem unwahrscheinlich und in der Praxis nicht relevant. Bei 64 Bit treten Kollisionen jedoch nach etwa 2^32 Verschlüsselungsoperationen mit demselben Schlüssel mit einer hohen Wahrscheinlichkeit auf. Das sind 32 GByte - eine Datenmenge, die in der heutigen Zeit durchaus über eine Verbindung übertragen werden kann.

Im Grunde sind derartige Probleme von Blockverschlüsselungsalgorithmen schon lange bekannt. Neu an SWEET32 ist jedoch, dass zum ersten Mal in einem realistischen Szenario ein Angriff auf weit verbreitete Protokolle gezeigt werden konnte.

Nach einer Datenkollision kann ein Angreifer beim üblicherweise verwendeten CBC-Modus mit einigen simplen XOR-Operationen die Verknüpfung aus den unverschlüsselten Daten der kollidierenden Datenblöcke extrahieren. Für einen praktischen Angriff bedeutet das, dass der Angreifer Teile der verschlüsselten Daten kennen muss und gleichzeitig ein Geheimnis sucht. Beispiele, die von den SWEET32-Entdeckern ausgeführt werden, sind Session-Cookies und Passwörter für die HTTP-Basic-Authentication.

Triple-DES kommt in TLS noch gelegentlich zum Einsatz, vor allem aus Kompatibilitätsgründen. In den meisten Fällen ist das kein Problem - wenn Server und Client auch den moderneren AES-Algorithmus unterstützen und bevorzugen, wird dieser ausgewählt und es besteht keine Gefahr. Doch offenbar gibt es noch eine nicht unerhebliche Zahl von Servern, die auch bei einem modernen Client Triple-DES bevorzugen. Von den Top-10.000-Webseiten sind das immerhin 1,9 Prozent.

Banken, Shoppingseiten und Firewall-Hersteller betroffen

Doch auch von den Servern, die Triple-DES unterstützen, ist nur ein Teil in den beschriebenen Angriffsszenarien praktisch verwundbar. Denn es müssen über eine Verbindung sehr viele Daten übertragen werden. Viele Webserver limitieren die Zahl der erlaubten Requests über sogenannte Keep-Alive-Verbindungen. Apache beispielsweise begrenzt diese auf 100 Requests - der Angriff ist damit nicht durchführbar. Andere Webserver - darunter Microsoft IIS - setzen jedoch kein derartiges Limit und sind verwundbar. Von den Top-10.000-Webseiten unterstützen insgesamt 0,6 Prozent unbegrenzt viele Keep-Alive-Verbindungen und gleichzeitig Triple-DES. Darunter befinden sich unter anderem eine Login-Webseite von Ebay, mehrere US-Banken, ein Login-System des Nasdaq und die Webseite des Enterprise-Firewall-Herstellers Citrix.

Neben TLS sind auch Verbindungen mit OpenVPN betroffen. OpenVPN nutzte bislang standardmäßig den Blowfish-Algorithmus, der 1993 von Bruce Schneier entwickelt wurde. Blowfish hat ebenfalls eine 64-Bit-Blockgröße. Da VPN-Verbindungen über lange Zeiträume bestehen können, ist es hier durchaus plausibel, dass sehr viele Daten über eine Verbindung geschickt werden.

Bei SSH-Verbindungen wurden früher Blowfish und Triple-DES ebenfalls häufiger eingesetzt, aktuelle OpenSSH-Versionen unterstützen standardmäßig jedoch keinen der problematischen Algorithmen mehr.

Die SWEET32-Autoren implementierten einen Angriff sowohl gegen TLS als auch gegen OpenVPN. Die Angriffe dauerten dabei jeweils 18 beziehungsweise 30 Stunden und es mussten mehrere Hundert GByte an Daten abgefangen werden. Extrem praktikabel sind die Angriffe damit nicht, doch sie sollten trotzdem Anlass genug sein, diese alten Verschlüsselungsalgorithmen zu meiden. Auch der RC4-Algorithmus wurde wegen ähnlich unpraktikabler Angriffe ausgemustert.

Alte Cipher wenn möglich meiden

Wo es möglich ist, sollte man am besten ganz auf Triple-DES und Blowfish verzichten. OpenVPN unterstützt auch die Verschlüsselung mittels AES. Bei HTTPS-Servern spielt Triple-DES nach wie vor eine gewisse Rolle, da der Cipher die Kompatibilität zu einigen alten Clients ermöglicht. Insbesondere der Internet Explorer unter Windows XP unterstützt keinerlei AES-basierte Ciphermodi. Sicherstellen sollten Webserver-Admins jedoch zumindest, dass standardmäßig modernere Cipher genutzt werden. Auch die Begrenzung von Keep-Alive-Verbindungen vereitelt denkbare Angriffe.

OpenSSL hat die Triple-DES-Cipher aus der Kategorie der Cipher mit hoher Sicherheit ("HIGH") in die Kategorie mit mittlerer Sicherheit ("MEDIUM") verschoben. Die künftige Version 1.1 wird Triple-DES standardmäßig überhaupt nicht mehr unterstützen; nur wenn der Nutzer mit einem speziellen Befehl alte Cipher wünscht, wird die Unterstützung überhaupt kompiliert. OpenVPN wird künftig eine Warnung anzeigen, wenn ein Algorithmus mit einer 64-Bit-Blockgröße verwendet wird. Mozilla will im Firefox-Browser ein Limit für Keep-Alive-Verbindungen implementieren und damit Angriffe erschweren.


eye home zur Startseite
Kleba 25. Aug 2016

Ich vermute die Bezeichnung hat mit dem erwähnten Geburtstagsparadoxon zu tun. In den USA...

My1 25. Aug 2016

zumindest solange er nicht mit Firefox genutzt wird. 3DES war bisher die einzige halbwegs...



Anzeige

Stellenmarkt
  1. init AG, Karlsruhe
  2. BRUNATA Wärmemesser GmbH & Co. KG, München
  3. Daimler AG, Leinfelden-Echterdingen
  4. Diehl Comfort Modules, Hamburg


Anzeige
Top-Angebote
  1. (-40%) 17,99€
  2. 15€ sparen mit Gutscheincode GTX15 (Bestpreis laut Preisvergleich)
  3. (u. a. 3x B12-PS 120mm für 49,90€, 3x B14-1 140mm für 63,90€ statt 71,70€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Travelers Box: Münzgeld am Flughafen tauschen
Travelers Box
Münzgeld am Flughafen tauschen
  1. Apple Siri überweist Geld per Paypal mit einem Sprachbefehl
  2. Soziales Netzwerk Paypal-Zahlungen bei Facebook und im Messenger möglich
  3. Zahlungsabwickler Paypal Deutschland bietet kostenlose Rücksendungen an

Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Pornoseite Xhamster spricht von Fake-Leak
  2. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert
  3. Spionage Malware kann Kopfhörer als Mikrofon nutzen

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

  1. Re: Danke Apple

    crazypsycho | 02:11

  2. Re: Was die VG Wort will

    Moe479 | 02:03

  3. Re: Bye Bye Samsung

    crazypsycho | 01:53

  4. Re: Hat Microsoft eigentlich noch eine...

    mambokurt | 01:45

  5. Re: Da hat ihm die Strahlung wohl gar nichts...

    Moe479 | 01:43


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel